スペシャル
権限設定を支援する「Authority Collection」をはじめ
セキュリティ・レベルを向上させる機能が充実


img_security01

IT化する業務の増加にともない、コンピューターシステム上で稼働するアプリケーションは増加するばかり。多数のアプリケーションを同時稼働させ、多種多様なデータをストレスなく処理するその範囲、および関係者は日々増えています。そのため、「いつ誰がどのような目的で、どのようなアプリケーションを利用しているのか」を把握するのが困難となり、ユーザーにどのデータ、アプリケーションに対しアクセス権限を与えるべきか頭を抱えているIT担当者の方も少なくないでしょう。

必要最低限に絞り込むため権限設定を見直そうと考えた場合、アプリケーションに対する知識が不足していることなどが原因で、誤った設定をしてしまう可能性も懸念されます。権限設定のミスにより、データへのアクセスやアプリケーションの利用が妨げられることは、業務の流れを止めることを意味し、時に大きなビジネスロスにつながります。そうした事態を防ぎたいという思惑から、セキュリティー上のリスクを抱えているにも関わらず、必要以上の権限を与えたまま変更できずにいる、といったケースも見られます。こうした状況はコンプライアンス上でも好ましくなく、監査で問題が明るみになり困り果てる、ということもしばしばです。

新たに追加されたAuthority Collectionとは何か?

そうした悩ましい問題を解決すべく、IBM i7.3から追加されたセキュリティー機能の一つが「Authority Collection」です。もともとあった権限チェック機能をベースに、全てのIBM iファイルシステムからログを収集することでパフォーマンスデータのような感じでアクセスの履歴をトラッキングし、データベースに格納していきます。SQLやNavigator for iの照会機能を利用することで権限チェックが簡単にできるため「ユーザーがアプリケーションを実行する際に必要な権限は何か」が明確になり、個々のユーザーに適切な権限レベルを付与できるため、セキュリティーレベルを向上させることができます。

「Authority Collection」 をCLコマンドで使用する場合は、まずユーザー・プロファイルを指定して、STRAUTCOL (権限収集開始)を実行します。続いて、指定のユーザーに権限調査対象のアプリケーションを実行させた後、ENDAUTCOL(権限収集終了)を実行 。その結果を、SQLや「Navigator for i(IBM i を管理するための ウェブベース・ツール)」を使って収集し調査します。不要になった権限情報は、DLTAUTCOL(データ・リポジトリーから権限情報削除) で削除可能です。

Navigator for i上で使用する場合はもっとシンプルで、画面上でユーザー、ライブラリー、オブジェクト、オブジェクト・タイプ、ファイル・システム・オブジェクトなどを指定するだけで、権限収集結果を表示できます。

どんな時にAuthority Collectionを使うのか

たとえば、営業担当のAさんが、TOYSTORE/SALESというテーブルへのアクセスが必要だとします。この場合、システム管理者であるBさんが、Aさんを指定して、STRAUTCOLを実行。その後、Aさんには、TOYSTOREライブラリーのデータにアクセスするよう依頼します。そして、ENDAUTCOL を実行し、AさんのTOYSTOREライブラリーへの権限をチェックすると、「AさんのTOYSTOREライブラリーへのライブラリー権限は*EXECUTEである」という具合に、権限が提示されるのです。
Bさんはこれにもとづき、AさんにEXECUTE権限(ライブラリーまたはディレクトリー内でのオブジェクトの探索ができる権限)を付与します。このケースでは、同じ手順で権限収集を実施し、SALESファイルに対して、*OBJOPR権限(オブジェクトを操作することができる権限)、*READ権限(ファイルを表示することができる権限)が付与されることになります。すなわちそれ以上の権限、たとえばファイルを変更したり更新したりする権限は必要がないということがわかります。
このように「Authority Collection」機能によって、最低限必要な権限および過剰な権限の調査が可能となり、セキュリティ・レベルを向上させることができます。

システムパフォーマンスを「リアルタイム」、「時系列」で確認できる

パフォーマンスのデータは「ヒストリカルデータ」として、日、週、月、年の単位で表示することが可能です。見られるデータはCPU使用率だけでなく、ディスクの使用率や稼働率、その他さまざまなデータを対象としています。「ヒストリカルデータ」は線グラフで表示され、グラフの頂点をクリックすると、リソースを消費しているジョブが何なのかを知ることができます。さらにジョブをクリックすると、ジョブの詳細情報を見ることができ、いつどのようなジョブが、どのような理由で、リソースを消費しているのか一目瞭然です。保存できる履歴も最大50年分となるため、長期間のデータを分析し、リソース配分を再考する際などに役立てることができます。

ストレージ階層管理機能により常に快適なアクセスを実現

IBM i 7.3では「BRMS (Backup, Recovery, and Media Services)機能」の拡張も行われました。新しく追加されたのが、「ストレージ階層管理機能」。記録メディアには、SSD、高回転HDD、低回転HDD、テープ・カートリッジといったように階層があります。利用頻度の高いデータは、SSDに配置することで処理効率向上を望めます。また、「ストレージ階層管理機能」ではストレージの最適化に向けて、利用頻度による配置、スケジュールが可能。これにより、常に快適なアクセスが実現できるようになりました。

関連キーワード